Una operación de piratería informática y espionaje cibernético de Corea del Norte violó la red de una empresa de ingeniería vinculada a organizaciones militares y energéticas al explotar una vulnerabilidad de seguridad cibernética en Log4j.
Detallada por primera vez en diciembre, la vulnerabilidad (CVE-2021-44228) permite a los atacantes ejecutar código de forma remota y obtener acceso a sistemas que usan Log4j, una biblioteca de registro de Java ampliamente utilizada.
La naturaleza omnipresente de Log4j significó que las agencias de seguridad cibernética instaron a las organizaciones de todo el mundo a aplicar actualizaciones de seguridad lo más rápido posible, pero meses después de la divulgación, muchas aún son vulnerables a la falla.
Según los investigadores de seguridad cibernética de Symantec, una de esas empresas que aún era vulnerable era una empresa de ingeniería no revelada que trabaja en los sectores energético y militar. Esa vulnerabilidad resultó en una brecha en la empresa cuando los atacantes explotaron la brecha en un servidor VMware View de cara al público en febrero de este año. A partir de ahí, los atacantes pudieron moverse por la red y comprometer al menos 18 computadoras.
VER: Google: Múltiples grupos de piratería están utilizando la guerra en Ucrania como señuelo en intentos de phishing
El análisis de los investigadores de Symantec sugiere que la campaña es de un grupo al que llaman Stonefly, también conocido como DarkSeoul, BlackMine, Operation Troy y Silent Chollima, que es un grupo de espionaje que trabaja en Corea del Norte.
Otros investigadores de ciberseguridad han sugerido que Stonefly tiene vínculos con Lazarus Group, la operación de piratería informática más infame de Corea del Norte.
Pero mientras que la actividad de Lazarus Group a menudo se centra en robar dinero y criptomonedas, Stonefly es una operación de espionaje especializada que, según los investigadores, se dedica a ataques altamente selectivos «contra objetivos que podrían generar inteligencia para ayudar a sectores estratégicamente importantes», incluidos el energético, aeroespacial y militar.
«Las capacidades del grupo y su enfoque limitado en la adquisición de información confidencial lo convierten en uno de los actores de amenazas cibernéticas más potentes de Corea del Norte que operan en la actualidad», advierten los investigadores de Symantec.
Stonefly ha existido de alguna manera desde 2009, pero en los últimos años se ha redoblado para apuntar a información altamente confidencial y propiedad intelectual. Esto se logra mediante la implementación de ladrones de contraseñas y malware troyano en redes comprometidas. En el caso de la empresa de ingeniería no revelada, el primer malware se introdujo en la red pocas horas después del compromiso inicial.
Entre las herramientas implementadas en este incidente se encontraba una versión actualizada del malware de puerta trasera Preft personalizado de Stonefly. La carga útil se entrega por etapas. Cuando se ejecuta por completo, se convierte en una herramienta de acceso remoto HTTP (RAT) capaz de descargar y cargar archivos e información, junto con la capacidad de descargar cargas útiles adicionales, así como de desinstalarse cuando ya no se necesita el malware.
Junto con la puerta trasera de Preft, Stonefly también desplegó un ladrón de información desarrollado a medida que los atacantes planearon usar como un medio alternativo de exfiltración.
VER: Estos son los problemas que causan dolores de cabeza a los cazarrecompensas de errores
Stonefly ha estado activo durante más de una década y es poco probable que sus ataques se detengan pronto, especialmente porque el grupo tiene un historial de desarrollo de nuevas tácticas y técnicas. Si bien Stonefly está clasificado como un poderoso grupo de piratería respaldado por el estado, en este caso, no necesitaron técnicas avanzadas para violar una red, simplemente aprovecharon una vulnerabilidad de seguridad crítica sin parches.
Para ayudar a garantizar que las vulnerabilidades conocidas como Log4j no puedan ser explotadas por grupos de piratería respaldados por el estado o ciberdelincuentes, las organizaciones deben asegurarse de que las actualizaciones de seguridad para las aplicaciones y el software se implementen lo antes posible. En el caso de la empresa anterior, este proceso habría implicado aplicar los parches disponibles para los servidores de VMware, que estaban disponibles antes de que ocurriera el ataque.
Otros protocolos de ciberseguridad, como proporcionar a los usuarios autenticación multifactor, también pueden ayudar a prevenir ataques que aprovechan las contraseñas robadas para moverse por las redes.
